Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties
Bron: News.com, submitter: remy007

Door een fout in een beveiligingsprotocol dat door verschillende netwerkproducten gebruikt wordt, zijn heel wat netwerken vatbaar voor DoS-aanvallen en buffer overflows. Het lek in kwestie bevindt zich in het Internet Security Association and Key Management Protocol dat onder andere geïmplementeerd is in IPsec-vpn-producten en firewalls van bedrijven als Cisco en Juniper. Wanneer iemand misbruik maakt van de fout, is hij in staat het netwerkverkeer dat via het apparaat loopt te vertragen en zelfs helemaal onmogelijk te maken. In bepaalde gevallen kan een hacker zelfs controle krijgen over een apparaat, aldus het Britse National Infrastructure Security Co-ordination Centre. Het ISAKMP wordt gebruikt om beveiligde verbindingen te leggen via het internet en is een belangrijk onderdeel van IPsec.

VPN-plaatjeDit laatste is op zijn beurt een veelgebruikt protocol om een vpn aan te leggen, bijvoorbeeld voor werknemers die niet in het bedrijf zelf werken maar wel verbinding willen maken met het interne bedrijfsnetwerk. Cisco en Juniper hebben beiden bevestigd dat een aantal van hun producten vatbaar zijn voor misbruik. Bij Cisco gaat het op de Cisco IOS, Cisco PIX Firewall, Cisco Firewall Services Module, Cisco VPN 3000 Series Concentrators en de Cisco MDS Series SanOS, die door de fout steeds opnieuw heropgestart kunnen worden, wat een Denial-of-Service veroorzaakt. Gebruikers van een van deze systemen kunnen een gratis patch downloaden bij Cisco.

Bij Juniper gaat het om de M-serie, T-serie, J-serie en E-serie routers en de meeste versies van de Junos- en JunoSe Security-software. Een woordvoerder van Juniper stelt dat men al sinds juni op de hoogte is van het probleem en dat alle software die na 28 juli vrijgegeven werd, gepatcht is om dit probleem op te lossen. Op Linux wordt voor heel wat IPsec-implementaties software van het Openswan Project gebruikt en ook deze code bevat de fout. Gebruikers van deze software kunnen dan ook versie 2.4.2 downloaden van de website om zichzelf te beschermen tegen misbruik van dit lek.

Moderatie-faq Wijzig weergave

Reacties (23)

Een vreemd nieuwsbericht. Het start met 'een fout in een beveiligingsprotocol', maar vervolgens wordt er alleen ingegaan op diverse implementaties welke last hebben van bufferoverflows (en afgeleide DoS attacks).

ISAKMP is een verschrikkelijk complex protocol (design by consensus) met teveel opties. Het maken van een compliant implementatie is dan ook niet eenvoudig, maar intrinsiek onveilig is niet aangetoond in dit bericht (flaw in het protocol zelf).

De complexiteit maakt het wel waarschijnlijker dat er fouten worden gemaakt bij de implementatie, zoals uit dit bericht blijkt. Ik vraag me alleen af of een deel van de vendors wellicht dezelfde implementatie als basis heeft gebruikt. Grote afwezige in het lijstje is Racoon, de ISAKMP daemon van de BSD familie, welke voorop liepen met implementatie van IPsec en verwante protocollen (Kame project), en welke in het verleden ook z'n problemen heeft gekend (plust dat de code niet prettig leest).

Dat Microsoft claimt geen producten te voeren met ISAKMP verbaast me aangezien MS wel degelijk IKE ondersteunt op haar OS (UDP poort 500) voor IPsec. Kan wel zijn dat ze het wel hebben, maar niet vulnerable zijn.
Vakjargon, Engelse woordenschat en ideëen, allen tesamen in de droogtrommel.. Het lijkt chique, maar veel heb ik er nu ook niet aan met dit zo te lezen. Sorry
Niet akkoord... Het nieuwsbericht zelf is al redelijk 'pro' (IPSec is niet voor een gewone thuisgebruiker weggelegd), en de poster stelt zich gewoon de vraag waarom er wordt gezegd dat er een fout in het protocol zit. Het protocol is gewoon slecht geïmplementeerd in veel programma's, waardoor die programma's kwetsbaar zijn. Hij vraagt zich af waarom de BSD-implementatie dat niet is.
Een gedetailleerde advisory met daarin ook de reacties van vendors en een test-programma:

http://www.niscc.gov.uk/n...0051114-01014.pdf?lang=en

Een testsuite met zeer gedetailleerde uitleg waar een hardcore tweaker van gaat kwijlen en alle andere tweakers acuut het venster zullen willen sluiten (niet doen, vrijwel onderaan staan links naar de jar files)

http://www.ee.oulu.fi/res...rotos/testing/c09/isakmp/
Voor de goede orde, Microsoft producten schijnen geen last te hebben van de bug.
Microsoft maakt ook geen Ipsec VPN routers. Windows Server 2003 schijnt een soortgelijke functie wel te hebben, hopelijk bevat die niet ook de bug.
Windows Server 2003 gebruikt standaard PPTP in plaats van IPSec. IPSec zie je vaker bij unix en afgeleide producten.
PPTP wordt voornamelijk gebruikt voor Client to gateway tunnels. Ik heb gezien hoe mensen PPTP gebruiken voor gateway to gateway tunnels, maar dat is omslachtig en onzinnig.

IPSec is bij uitstek geschikt voor gateway to gateway tunneling.

En ja ook win2k3 ondersteunt IPSec policies. Mooier nog, het in de router van win2k3 ingebouwd. Met IPSec policies kun je rules aanmaken welke packets wel, en welke niet encrypted moeten worden en waar ze heen gestuurd moeten worden. Geweldig systeem, ook al is het van MS.

IPSec wordt als een van de beste tunneling protocols gezien.
Het niet is specifiek een MS iets maar gewoon een protocool, zoiets draait hier op mijn OpenBSD server ook
Microsoft ondersteunt sinds windows 2000 (ook PRO) IPSec tunneling policy, om niet alleen via internet te encrypten maar ook tussen werkstations onderling op een LAN en kan zowel preshared keys gebruiken als certificates.
En hoe zit het met de implementaties van IPsec in de soho routers als Draytek etc? Veel van deze zullen ook vatbaar zijn omdat ze een op linux gebaseerd OS draaien.
Nou, bel Draytek.
Oh wacht, daar hebben ze van die belachelijk slechte support heh? Dat is dan janken, want het kan wel eens een maandje gaan duren voor die routers beveiligd raken. In mijn geval betekent het dat ik alle Vigortjes ontdoe van hun IPSec tunnels en maar zolang over PPTP lan2lan mag gaan bouwen ( :r )
ik zoek op cisco de update voor de vpn3000 series maar ik kan het nergens vinden. iemand een direct linktje? ik denk dat je er meer mensen plezier mee doet
hmmmm. wellicht off topic, maar ik hoor niets over linksys, toch een cisco division.
ik heb een routertje van hen, ik maak een vpn verbinding van overal naar mijn eigen netwerk.

dat ik niets hoor over deze bug, kan ik dan automatisch vanuit gaan dat Linksys apparatuur niet vatbaar is??
Hmm, ik vraag me af of Hamachi VPN daar ook vatbaar voor is.


voor zo ver ik heb kunnen ontdekken :P, kan ik daar verders niets zinnigs over zeggen
Weer een lek maar deze x bij Cisco
Heb je wel gelezen? Het lek zit in een protocol dat toevallig ook bij Cisco gebruikt wordt, maar ook bij zo goed als alle andere fabrikanten. Cisco heeft hier eigenlijk niets mee te maken dus.
sta je mooi te kijken als je geen controle meer over hebt
Haal je router van het internet, reboot en klaar is kees :?
na je reboot behoud je nog telkens dezelfde problemen hoor dat iemand em kan overnemen.

Maar deze 'foutjes' zitten ook in Draytek, USR, Linksys, SMC, 3Com etc etc produkten waar IPSEC tunnels ondersteund worden
@SpyroInc
Nou ... dat zijn 'andere' fouten in hetzelfde deelgebied. Niet dezelfde problemen. (ok ok ... misschien ben ik een mierenneuker, maar ik wil naar een leuk punt komen... :+)

Volgens mij ... is dit nogsteeds Cisco's probleem in hun hardware op o.a. het management gebied van deze producten. Want ... je kan ze vaak ook nog beheren (handig...!) met Cisco tools of telnet of ssh terminal sessies. De lol daarvan was dat je een ex-werknemer bij Cisco een verhaaltje heeft gepresenteerd over allerlei problemen van Cisco, wat die moest terug geven aan het bedrijf. Maar ... deze problemen deze zich voor in verschillende generaties van verschillende type router producten. En misschien dus ook van deze producten lijn...
Er saiant detail is natuurlijk dat het hier vooral om beveilgingsproducten gaat en niet om infrastructurele producten... iets wat mij erg lekker 'veilig' laat voelen.

Niet te min dat een VPN server een zeer valse voor onder stelling kan geven aan iemands netwerk over veiligheid. Ik kan me herinneren van een bedrijf (naam niet te noemen) geen firewall had achter de VPN tunnel om het bedrijfsnetwerk te beschermen van allerlei crap van ieders laptops ... hilarisch hoe er vanalles binnen sloop in het netwerk |:( :9~ :+
Een fout in een protocol!
Dat hoor je niet vaak.
Een programmeerfout, dat hoor je wel vaker.
Maar een fout in een protocol..goh! :+
Gelukkig is het protocol en werking ermee nooit 'geprogrammeerd' hé... |:(
Enkel blinde mensen kopen perfectie voor een spotprijsje :-/

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True